Jira Data Center アプリケーション向け SAML SSO
セキュリティ アサーション マークアップ言語 (SAML) は、サービスに対し、アイデンティティ プロバイダー (IdP) との認証データの交換を許可する XML ベースのデータ形式です。最も一般的な使用事例は、ユーザーに対し、同じ認証情報 (通常はユーザー名とパスワード) を使用して、複数のソフトウェア アプリケーションへのサインインを許可することです。これを、シングルサインオン (SSO) と言います。
アトラシアンでは、ユーザーの SSO エクスペリエンスを実現するために、Jira Server と Data Center の各アプリケーションが IdP に接続できるようにする Atlassian Server と Data Center アプリ用の SSO を提供しています。
このページでは、Jira Software Data Center と Jira Service Management Data Center の各アプリケーションで利用できる最新の SSO 機能について説明します。以前のバージョンまたは Server 製品では、機能が制限される場合があります。SSO アプリをアップグレードできるかどうかを、または管理の「SSO 2.0」にある SSO 機能を確認します。
SSO for Atlassian Server and Data Center は認証のみを処理します。アプリケーション アクセスやその他の必要な認証 (ユーザーが適切なグループ/ロールに所属して、必要な権限を持っていることの確認など) は、ユーザー ディレクトリやアプリケーション自体で設定する必要があります。
クロスドメインの SSO ソリューションをお探しですか?
Crowd SSO 2.0 機能を備えた Crowd Data Center 3.4 は、Server、および Data Center アプリケーションのための単一のソリューションで、わずか数分でセットアップできます。変更への準備は万全ですか? 「Crowd SSO 2.0」をご覧ください。
シングルサインオンのセットアップ
ユーザー向けにシングル サインオンを提供するには、アプリケーションと IdP を構成する必要があります。
サポートされるアイデンティティ プロバイダー
SAML シングル サインオンは、HTTP POST バインディングを使用して、SAML 2.0 ウェブ ブラウザ SSO プロファイルを実装する任意のアイデンティティ プロバイダーと連携させることができます。
弊社では現在、次のアイデンティティ プロバイダーでテストを実行しています。
SSL/TLS のセットアップ
セットアップが完了すると、アプリケーションの設定したベース URL が HTTPS プロトコルを使用していることを確認する必要があります。
リバース プロキシを使用して SSL/TLS を設定する
リバース プロキシを使用する場合は、具体的な設定ステップを示す、これらの製品固有のドキュメントをご参照ください。
- Apache HTTP Server (mod_proxy_http) でアトラシアンのサーバー アプリケーションをプロキシする
- SSL を利用して Jira と Apache を統合する方法
- SSL と Apache を使用してアトラシアン アプリケーションを保護する
SSL/TLS を終了するリバース プロキシを使用している場合は、アプリケーション サーバーに表示されるリクエスト URL が、リバース プロキシの完全修飾ドメイン名と一致することを確認する必要があります。通常、これは <Connector> ディレクティブを、適切な proxyName、proxyPort、セキュア、スキームの設定で構成することでアーカイブされます。具体的な例については、上記のドキュメントをご参照ください。
アイデンティティ プロバイダーのセットアップ
アプリケーションで SSO を提供する場合は、そのアプリケーションを IdP に追加する必要があります。正確なプロセスは IdP に応じて異なりますが、通常は以下が必要です。
- IdP で "アプリケーション" を定義します。
- アプリケーションに関するデータ (アプリケーションの認証方法画面でアクセスできるデータを含む) を入力します。
- IdP のユーザーの NameID 属性が、アトラシアン アプリケーションでユーザー名に設定されていることを確認します。
- アプリケーションを使用する適切なユーザー権限を提供します。
セットアップ プロセスの最後に、IdP から、Atlassian アプリケーションの構成に必要なデータ セットが提供されます。
アトラシアン アプリケーションの SAML SSO 認証を設定する
- [管理] (
) > [システム] > [認証方法] の順に選択することで、認証方法画面を開きます。 - [設定を追加] を選択します。
- [認証方法] メニューで [SAML シングル サインオン] を選択します。
- 設定に一意の名前を作成します。
次の SAML SSO 設定を行います。
設定 詳細 シングルサインオン発行者
この値は、SAML 設定の一部として IdP によって提供されます。「エンティティ ID」と呼ばれることもあります。
発行者は、アプリケーションが認証リクエストを承認することになる IdP です。
アイデンティティ プロバイダー シングルサインオン URL
この値は、SAML 設定の一部として、IdP によって提供されます。
ログイン時にユーザーがリダイレクトされる URL を定義します。
X.509 証明書
この値は、SAML 設定の一部として IdP によって提供されます。「サインイン証明書」と表されることもあります。通常、キーは "-----BEGIN CERTIFICATE-----" で開始します。
これには、受信したすべての SAML 認証リクエストの発行元がお使いの IdP であることを検証するために使用するパブリック キーが含まれます。
ユーザーのログイン情報を記録する 選択すると、成功したユーザーのログインがユーザーのブラウザーに記憶されます。アプリケーションのブラウジング時に、ユーザーは SAML に対して認証不要で自動でログインされます。 ユーザー名のマッピング IdP からの属性。ユーザーを一意に識別して Jira のユーザー名にマッピングできます。たとえば、${NameID} と入力すると、IdP からのこの属性の値がユーザー名として使用されます。IdP ドキュメントで属性のリストをご確認ください。 次の情報は「認証方法」画面で提供されて、IdP の設定に必要となります。これらのリンクをアイデンティティ プロバイダーにコピー & ペーストします。
設定 詳細 アサーション コンシューマー サービス URL IdP が SAML 認証リクエストを返す先となる URL です。
オーディエンス URL (エンティティ ID) IdP が SAML 認証リクエストを準備する URL です。
次の設定はオプションで、自分の用途に合わせて設定できます。
設定 詳細 JIT プロビジョニング [アプリケーションへのログイン時にユーザーを作成] が選択されている場合は、 SSO 経由で Atlassian Data Center アプリケーションにログインすると、ユーザーが自動で作成されて更新されます。詳細については「JIT ユーザー プロビジョニング」をご確認ください。
SAML SSO の動作 [ユーザー ログインを記憶] が選択されている場合は、ユーザーのログイン情報が記憶されるので自動でログインします。
顧客のログインを含める (Jira Service Management のみ) 選択されている場合は、カスタマー ポータルによる Jira Service Management の顧客のすべてのログインは、設定済み IdP にリダイレクトされます。未選択の場合、顧客はカスタマー ポータルからログインする必要があります。 ログイン ページの設定 [ログイン ページに IdP を表示] が選択されている場合は、ログイン ページにアイデンティティ プロバイダーが表示されます。 - [設定を保存] を選択します。
アプリケーションと IdP の両方を構成したら、SSO を使用する準備が整います。
べスト プラクティス
- 認証プロセスのセキュリティとプライバシーを保証するには、Atlassian アプリケーションと IdP の両方が HTTPS プロトコルを使用して互いに通信し、設定されたアプリケーションのベース URL が HTTPS のものであることをご確認ください。
- SAML 認証リクエストは、限られた回数のみ有効です。アプリケーションを実行しているサーバーの時刻が IdP と同期化されていることを確認する必要があります。
- お使いのアプリケーションのユーザーやグループが ユーザー ディレクトリ を使用して構成されている場合は通常、IdP とアトラシアン アプリケーションの両方で、同じ LDAP ディレクトリをユーザーのソースとして使用することになります。ユーザーは、SSO を使用してログインする前にユーザー ディレクトリ内に存在する必要があります。
トラブルシューティング
SAML 認証の設定を間違えた、または IdP でログインできない場合は、auth_fallback 機能によって SAML 認証を回避できます。詳細については「Jira Data Center の SAML 認証を回避する」をご確認ください。
- 認証エラーが発生した場合、ユーザーには、うまくいかなかった点に関する基本的な詳細のみが表示されます。セキュリティ上の理由から、元となる問題に関する詳細は表示されません。アプリケーション ログで問題の原因を確認する必要があります。
- IdP によってエラーが表示される場合もあります。このような場合は、アトラシアン サポートではなく IdP によって提供されたサポートやツールを使用する必要があります。
- SAML をプライマリ認証として使用していて、アプリケーションで CAPTCHA が有効になっている場合、HTTP 基本認証を使用しているユーザーは (REST リソース コールの場合など)、間違ったパスワードを既定回数を超えて入力するとロックされる可能性があります。このような場合、管理者はユーザー リスト画面でユーザーの CAPTCHA をリセットする必要があります。